Configuration des paramètres de l'analyseur de l'activité réseau des machines virtuelles
La fonction de détection d'une activité réseau suspecte est accessible uniquement si vous utilisez l'application avec une licence d'entreprise.
Pour configurer les paramètres de l'analyseur de l'activité réseau des machines virtuelles protégées, procédez comme suit :
Dans la Console d'administration Kaspersky Security Center, ouvrez les propriétés de la stratégie dont la zone d'action contient les machines virtuelles dont vous avez besoin :
Dans l'espace de travail, choisissez l'onglet Stratégies.
Dans la liste, sélectionnez une stratégie et double-cliquez sur celle-ci pour ouvrir la fenêtre Propriétés : <Nom de la stratégie>.
Dans la fenêtre des propriétés de la stratégie dans la section Protection contre les menaces réseau, sélectionnez la sous-section Prévention des intrusions.
Cochez la case Contrôler l'activité réseau des machines virtuelles si le contrôle de l'activité réseau des machines virtuelles est désactivé.
Cliquez sur le bouton Configuration.
La fenêtre Paramètres de l'analyseur de l'activité réseau s'ouvre.
Indiquez les catégories d'applications dont l'application Kaspersky Security doit détecter les signes d'activité réseau :
Activation / désactivation de l'activité réseau caractéristique des applications publicitaires.
Les applications publicitaires sont destinées à montrer à l'utilisateur des informations publicitaires, à rediriger les demandes de recherche sur les sites Internet publicitaires et à transmettre au développeur des informations de marketing sur l'utilisateur. A la différence des chevaux de Troie espions, les applications publicitaires transmettent ces informations avec l'autorisation de l'utilisateur.
Si la case est cochée, Kaspersky Security détecte dans le trafic réseau des machines virtuelles protégées l'activité caractéristique des applications publicitaires.
Si la case est décochée, la détection de l'activité caractéristique des applications publicitaires est désactivée.
Activation/désactivation de la détection des attaques réseau des applications légitimes qui peuvent être utilisées par des individus malintentionnés pour nuire à la machine virtuelle ou aux données de l'utilisateur.
Parmi celles-ci, il y a les applications de téléchargement de fichiers, les applications d'administration à distance, les dispositifs de suivi de l'activité de l'utilisateur, les applications d'utilisation des mots de passe. Ces applications sont utilisées dans des buts légitimes, mais si des individus malintentionnés ont accès à ces applications, ils peuvent utiliser certaines de leurs fonctions pour nuire au fonctionnement de la machine virtuelle ou des données de l'utilisateur.
Si la case est cochée, Kaspersky Security détecte dans le trafic des machines virtuelles protégées l'activité caractéristique des applications légitimes qui peuvent être utilisées par les individus malintentionnés pour nuire au fonctionnement de la machine virtuelle ou des données de l'utilisateur.
Si la case est décochée, la détection de l'activité caractéristique de ces programmes est désactivée.
La case est décochée par défaut.
Kaspersky Security détecte toujours dans le trafic des machines virtuelles protégées l'activité réseau caractéristique des applications malveillantes comme les virus, les vers et les Chevaux de Troie.
Si Kaspersky Security identifie une activité réseau qui n'est pas à votre avis un signe d'intrusion dans l'infrastructure protégée, vous pouvez configurer la liste des règles que Kaspersky Security n'applique pas pour l'identification d'une activité réseau suspecte dans le trafic des machines virtuelles protégées.
Pour ajouter à la liste la règle conformément à laquelle une activité réseau est détectée, cliquez sur le bouton Ajouter au-dessus de la liste et saisissez dans la ligne de la liste l'identificateur de la règle au format suivant : <nombre>:<nombre>:<nombre>.
Vous pouvez regarder les informations sur la règle appliquée dans le texte de l'événement expédié à Kaspersky Security Center pendant la détection d'une activité réseau suspecte.
Cliquez sur le bouton OK dans la fenêtre Paramètres de l'analyseur de l'activité réseau.
La liste déroulante contient les actions que Kaspersky Security peut exécuter en cas de détection d'une activité réseau suspecte dans le trafic des machines virtuelles protégées, si la protection réseau est déployée en mode standard. Vous avez le choix entre les options suivantes :
Ignorer. Kaspersky Security n'exécute aucune action sur les machines virtuelles manifestant une activité réseau suspecte.
Interrompre la connexion. Kaspersky Security interrompt la connexion entre la machine virtuelle protégée qui manifeste une activité réseau suspecte, et d'autres machines virtuelles.
Cette option est sélectionnée par défaut.
Interrompre la connexion et bloquer le trafic depuis l'adresse IP de l'expéditeur. Kaspersky Security interrompt la connexion entre la machine virtuelle protégée qui manifeste une activité réseau suspecte, et d'autres machines virtuelles, et bloque le trafic depuis l'adresse IP à l'origine de l'activité réseau suspecte. Le trafic est bloqué dans le réseau local virtuel où l'activité réseau suspecte a été détectée. La durée du blocage du trafic est configurée dans le champ En cas de détection d'une menace, bloquer le trafic pour X minutes.
Les informations sur la détection d'une activité réseau suspecte et les actions exécutées sont envoyées à Kaspersky Security Center.
La sélection de l'action est accessible si la case Contrôler l'activité réseau des machines virtuelles est cochée.
Si la protection réseau est déployée en mode de surveillance, en cas de détection d'une activité réseau suspecte, Kaspersky Security exécute l'action Ignorer.
Durée du blocage du trafic de l'adresse IP à l'origine de l'attaque réseau ou de l'activité réseau suspecte. La détermination de la source de l'attaque réseau ou de l'activité réseau suspect tient compte de l'appartenance du trafic au réseau local virtuel (VLAN). Kaspersky Security bloque le trafic de l'adresse IP seulement dans le réseau local virtuel où l'attaque réseau ou l'activité réseau suspecte a été détectée.
Par défaut, la durée du blocage est de 60 minutes.
Le cas échéant, configurez les règles d'exclusion de la protection contre les menaces réseau selon lesquelles Kaspersky Security exclut de l'analyse le trafic en provenance d'adresses IP définies ou applique des actions spéciales au traitement de ce trafic.
Cliquez sur le bouton OK dans la fenêtre Propriétés : <Nom de la stratégie>.